"مايكروسوفت": عصابة "لابسوس" للقرصنة غرضها الابتزاز وسرقة العملات المشفرة

time reading iconدقائق القراءة - 14
مايكروسوفت تتهم مجموعة القرصنة بالابتزاز - المصدر: بلومبرغ
مايكروسوفت تتهم مجموعة القرصنة بالابتزاز - المصدر: بلومبرغ
المصدر:

بلومبرغ

أعلنت عصابة قرصنة إلكترونية غامضة تتبع أساليب غير تقليدية -وصفها أحد الباحثين في بعض الأحيان بأنها "سيئة بشكل مثير للضحك"- مسؤوليتها عن سلسلة من الهجمات على بيانات بعض أكبر شركات التكنولوجيا في العالم.

أعلنت المجموعة، المعروفة باسم "لابسوس" (Lapsus $)، في سلسلة منشورات على تطبيق المراسلة "تليغرام" هذا الأسبوع، نجاحها في اختراق شركة "أوكتا" (Okta Inc)، المصنعة لبرمجيات التحقق من الهوية، التي تتخذ من سان فرانسيسكو مقراً لها، والتي تزود عملاءها من أصحاب الأعمال بأدوات التصديق.

قالت "أوكتا" يوم الثلاثاء إنّ المهاجمين ربما وصلوا إلى بيانات نحو 2.5% من عملائها، بعد اختراق الكمبيوتر المحمول الخاص بمهندس لدى بائع تابع لجهة خارجية.

ادّعت "لابسوس" قبل ذلك اختراقها عديداً من الشركات، من بينها "نيفيديا" (NVIDIA Corp) و"سامسونغ" (Samsung) و"إلكترونكس"(Electronics Co) و"يوبي سوفت إنترتينمنت" (Ubisoft Entertainment).

وقالت المجموعة إنها حصلت أيضاً على بيانات من شركة "مايكروسوفت" (Microsoft)، كما جمعت كود المصدر من محرك البحث الخاص بالشركة، "بينغ" (Bing)، وخرائط "بينغ"، ومساعد "كورتانا" (Cortana) الرقمي.

وذكرت "مايكروسوفت" أن المهاجمين استطاعوا "الوصول بشكل محدود" إلى أنظمتها، إذ اخترقوا حساباً واحداً لتجميع البيانات.

في السنوات الأخيرة، استخدم معظم مجموعات القرصنة برامج ضارة لتشفير ملفات الضحية، للمطالبة بعد ذلك بالدفع لإلغاء تشفيرها، في ما يُعرف باسم برنامج الفدية. وأحياناً تسرق المجموعات بيانات حساسة وتهدد بنشرها علانية ما لم يُدفع إليها.

قالت "مايكروسوفت" إن "لابسوس" تعتمد على "إفشاء معلومات سرية على نطاق واسع وإطلاق حملة ابتزاز"، رغم أنها لا تنشر برامج الفدية الضارة. وتستخدم المجموعة تكتيكات تعتمد على اختراق الهاتف واستهداف حسابات البريد الإلكتروني الشخصية لموظفين في المؤسسات المستهدفة، كما تدفع إلى موظفين أو شركاء عمل في تلك المؤسسات مقابل الوصول بشكل غير مشروع للبيانات.

كما تشتهر "لابسوس" أيضاً بالاستيلاء على حسابات فردية في بورصات العملات المشفرة لسرقة ممتلكات المستخدمين.

طالبت المجموعة، في منشور بتاريخ 10 مارس على قناة "تليغرام" التابعة لها، متابعيها بالسماح بالوصول إلى الشبكات الافتراضية الخاصة داخل أنظمة الشركات التي يعملون بها، أو مشاركة تفاصيل حول الأدوات المستخدمة في العمل عن بُعد. بالإضافة إلى ذلك، حاولت المجموعة الوصول إلى شركات الاتصالات والبرمجيات والألعاب ومقدمي خدمات الهاتف في أمريكا اللاتينية.

قال جوشوا شيلكو، كبير المحللين الرئيسيين في شركة "مانديانت" (Mandiant Inc) للأمن السيبراني، إنّ "لابسوس" قد تكون بدأت نشاطها منتصف عام 2021، عندما كان أعضاء المجموعة يكتبون منشورات في المنتديات السرية. وأضاف شيلكو: "إنهم يستهدفون الشهرة، ومهتمّون بالحضور في دائرة الضوء"، كما أن بعض الدلائل يشير إلى وجود دوافع مالية لديهم.

حادثة أمنية

وفي تغريدة على حسابه على "تويتر" رداً على ادعاء "لابسوس"، قال تود ماكينون، الرئيس التنفيذي لشركة "أوكتا"، إنّ الأمر يعود إلى حادثة أمنية وقعت في يناير.

وكشف ديفيد برادبري، كبير مسؤولي الأمن في "أوكتا"، يوم الثلاثاء عن اختراق استمر 5 أيام خلال شهر يناير، تمكن وقتها المهاجم من الوصول إلى جهاز كمبيوتر محمول لمهندس دعم كان يعمل لدى بائع تابع لجهة خارجية. وقال برادبري إنّ الشركة اكتشفت محاولة القرصنة الفاشلة في يناير. وتراجعت أسهم "أوكتا" بأكثر من 8% قبل أن تعوض كل خسائرها يوم الثلاثاء.

نشرت قناة "تليغرام" التابعة للمجموعة سلسلة صور، زعمت أنها دليل على الاختراق، وقالت إن "أوكتا" لم تكن الهدف النهائي. وأضافت: "قبل أن يبدأ الأشخاص في السؤال، لم نتمكن من الوصول إلى سرقة أي قواعد بيانات من (أوكتا)، كان تركيزنا فقط على عملاء (أوكتا)".

وصف بريت كالو، محلل التهديدات في شركة الأمن السيبراني "أمسيسوفت" (Emsisoft)، تكتيكات المجموعة بأنها "غريبة للغاية". وقال إن أفعالهم "توحي بأنهم قد يكونون أطفالاً منخرطين في إحدى الألعاب الإلكترونية، بأكثر من الاهتمام بالدولارات".

أشار آلان ليسكا، محلل الاستخبارات في شركة "ريكورديد فيوتشر" (Recorded Future) لاستخبارات التهديدات السيبرانية، إلى أن النشاط الأولي للمجموعة يشير إلى أن بعض أعضائها على الأقل حضروا في البرازيل، إذ كانت تلك الدولة الأم لعديد من الشركات المستهدفة في البداية. وأوضح ليسكا أن العضوية في مجموعات القرصنة سهلة.

لم تلاحظ "ريكورديد فيوتشر" أي نشاط لأعضاء "لابسوس" المشهورين على المنتديات الشعبية الناطقة باللغة الروسية.

وقال ليسكا: "يبدو أنهم سيئون بشكل مثير للضحك في بعض الأحيان، لكنهم ينشرون كود مصدر (مايكروسوفت). قد يكون ذلك نتيجة مزيج من الأعضاء الموهوبين حقاً وبعض الحمقى. حتى الحمقى يتعثرون في النجاح أحياناً".

تصنيفات

قصص قد تهمك